Gå til indhold
Blog

Styring af din MikroTik med OpenVPN

Resumé
En praktisk guide til brug af OpenVPN med MikroTik og en VPS: hvordan OpenVPN fungerer, serveropsætning på Ubuntu, MikroTik klientkonfiguration, adgangsmønstre, sammenligning med moderne løsninger og sikkerhedsbest practices.

Fjernstyring af MikroTik med OpenVPN

OpenVPN er stadig en solid og afprøvet metode til fjernadgang til routere og enheder.

Det kom før WireGuard og Tailscale, men dets fleksibilitet og kompatibilitet gør det stadig relevant i dag.

Denne artikel guider dig igennem hvordan og hvorfor — og giver direkte kommandoer til VPS-server og MikroTik klient.

Hvad er OpenVPN?

OpenVPN er en open source VPN-løsning (siden 2001), der opretter krypterede tunneler over TCP eller UDP.

Det bruger OpenSSL til kryptering og TLS-baseret autentificering.

Vigtige punkter:

  • Stærk kryptering (AES-256, SHA256, TLS).
  • Fungerer med IPv4 og IPv6.
  • Understøtter routet (TUN) og bridged (TAP) tilstande.
  • Bred kompatibilitet på OS og apparater — inklusiv RouterOS.

Bemærk: OpenVPN’s økosystem og værktøjer gør det ideelt til miljøer, der kræver eksplicit certifikatkontrol og support til ældre enheder.

Sådan fungerer OpenVPN (kort oversigt)

OpenVPN opretter en krypteret tunnel mellem en server (ofte en offentlig VPS) og en eller flere klienter (MikroTik routere, laptops osv.).

Autentificering sker via en CA, certifikater og valgfri TLS auth (ta.key).

Typiske tilstande:

  • TUN (routet): IP-routing mellem netværk (mest almindeligt).
  • TAP (bridge): Layer-2 bridging — nyttigt til broadcasts, men tungere.

Fordele og ulemper

Fordele

  • Velafprøvet sikkerhedsmodel (TLS + OpenSSL).
  • Meget konfigurerbar (TCP/UDP, porte, ruter, optioner).
  • Bred kompatibilitet — godt til blandede flåder.
  • Indbygget (dog begrænset) support i RouterOS.

Ulemper

  • Tungere end WireGuard på begrænset hardware.
  • Opsætning kræver PKI (CA, certifikater) og manuelle trin.
  • MikroTik’s RouterOS understøtter kun OpenVPN over TCP (serveropsætninger bruger stadig typisk UDP).

Opsæt en OpenVPN-server på Ubuntu (VPS)

Her er en kompakt og praktisk opsætning. Juster navne, IP’er og DNS til dit miljø.

1) Installer pakker

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Opret PKI og servernøgler

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # opret CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tip: Hold CA privat og lav backup. Behandl CA-nøgler som produktionshemmeligheder.

3) Serverkonfiguration (/etc/openvpn/server.conf)

Opret filen med dette minimale indhold:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktivér og start tjenesten

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: tillad porten

Terminal window
ufw allow 1194/udp

Advarsel: Hvis port 1194 åbnes mod hele internettet, sikr serveren (fail2ban, strenge SSH-nøgler, firewall regler til at begrænse IP-kilder hvor muligt).

Opret klientcertifikater og konfigurationer

Brug easy-rsa scripts til at generere et klientcertifikat (fx: build-key client1).

Pak disse filer til klienten:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (hvis brugt)
  • client.ovpn (konfigurationsfil)

Et minimalt client.ovpn-eksempel (erstat server IP med din VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurer MikroTik som OpenVPN-klient

RouterOS understøtter OpenVPN-klientforbindelser, men med visse RouterOS-specifikke begrænsninger.

  1. Upload klientens nøgle- og certifikatfiler (ca.crt, client.crt, client.key) til MikroTik.

  2. Opret en OVPN klientprofil og start forbindelsen.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Forventet status eksempel:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Bemærk: RouterOS begrænser historisk OpenVPN til TCP i nogle versioner — tjek RouterOS versionsnoter. Hvis du behøver UDP på routeren, overvej en mellemserver (fx Linux) eller brug en softwareklient på nærliggende maskine.

Adgang til en intern enhed via tunnelen

For at tilgå en intern enhed (fx IP-kamera 192.168.88.100), kan du bruge NAT på MikroTik til at eksponere en lokal port gennem tunnelen.

  1. Tilføj en dst-nat regel på MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Fra serveren eller en anden klient opret forbindelse til den routede adresse og port:
http://10.8.0.6:8081

Trafikken flyder gennem OpenVPN tunnelen og når den interne vært.

Sikkerhed og anbefalede fremgangsmåder

  • Brug unikke certifikater per klient.
  • Kombinér TLS-klientcertifikater med bruger/adgangskode for tofaktorlignende kontrol.
  • Roter nøgler og certifikater regelmæssigt.
  • Begræns kilde-IP’er i VPS-firewallen hvor muligt.
  • Foretræk UDP for ydeevne men kontroller RouterOS-kompatibilitet.
  • Overvåg forbindelsesstatus og logs (syslog, openvpn-status.log).

Tip: Automatiser certifikatudstedelse med scripts til mange enheder, men hold CA offline når muligt.

Kort sammenligning med moderne alternativer

LøsningStyrkerHvornår man vælger den
OpenVPNKompatibilitet, granulær certifikatstyringBlandede/ældre miljøer; ISP-opsætninger; erhvervsapparater
WireGuardHastighed, enkelhedModerne enheder, små routere
Tailscale/ZeroTierMesh, identitet, nem udrulningBærbare, servere, teamarbejde

Hvornår man bruger OpenVPN

  • Når du har brug for finmasket certifikatkontrol.
  • Hvis flåden inkluderer ældre enheder uden moderne agenter.
  • Når du skal integrere med eksisterende firewallregler og enterprise PKI.

Hvis du ønsker minimal overhead og moderne kryptografi, er WireGuard (eller Tailscale til brugervenligt kontrolplan) fremragende — men OpenVPN vinder stadig på universel kompatibilitet.

Hvor MKController hjælper: Hvis du vil undgå manuel tunneling og certifikathåndtering, giver MKControllers fjernværktøjer (NATCloud) adgang til enheder bag NAT/CGNAT med central styring, overvågning og automatisk genforbindelse — uden PKI pr. enhed.

Konklusion

OpenVPN er ikke forældet.

Det er et pålideligt værktøj, når du har brug for kompatibilitet og eksplicit kontrol med autentificering og routing.

Kombineret med en VPS og en MikroTik klient får du en robust, gennemsigtig fjernadgangsmetode til kameraer, routere og interne tjenester.

Om MKController

Vi håber, at ovenstående indsigter har gjort det lettere for dig at navigere i din MikroTik og internetverden! 🚀
Uanset om du finjusterer konfigurationer eller bare vil skabe orden i netværkskaosset, er MKController her for at gøre livet nemmere.

Med centraliseret cloudstyring, automatiske sikkerhedsopdateringer og en brugervenlig dashboard har vi det, der skal til for at opgradere din drift.

👉 Start din gratis 3-dages prøve hermkcontroller.com — og oplev hvordan ubesværet netværkskontrol virkelig føles.